Red Hat Enterprise Linux 8.1 ディストリビューション リリース

レッドハット社 解放された 分布 Red Hat Enterprise Linux 8.1。 インストール アセンブリは、x86_64、s390x (IBM System z)、ppc64le、および Aarch64 アーキテクチャ用に用意されていますが、 利用可能 のために загрузки Red Hat カスタマーポータルの登録ユーザーのみが対象です。 Red Hat Enterprise Linux 8 rpm パッケージのソースは、以下を通じて配布されます。 Gitリポジトリ セントOS。 RHEL 8.x ブランチは、少なくとも 2029 年までサポートされます。

Red Hat Enterprise Linux 8.1 は、新しい予測可能な開発サイクルに従って準備された最初のリリースであり、これは、XNUMX か月ごとに所定の時期にリリースが形成されることを意味します。新しいリリースがいつ公開されるかについて正確な情報があれば、さまざまなプロジェクトの開発スケジュールを同期し、新しいリリースに向けて事前に準備し、更新がいつ適用されるかを計画することができます。

注目されるのは、新しい ライフサイクル RHEL 製品は、新機能の出発点としての Fedora を含む複数のレイヤーにまたがります。 CentOSストリーム RHEL の次の中間リリース (RHEL のローリング バージョン) 用に作成されたパッケージにアクセスするため、
分離されたコンテナーでアプリケーションを実行するための最小限のユニバーサル ベース イメージ (UBI、ユニバーサル ベース イメージ) RHEL 開発者サブスクリプション 開発プロセスで RHEL を無料で使用できます。

鍵 変更:

• ライブパッチを適用するメカニズムの完全なサポートが提供されています(kパッチ) システムを再起動したり作業を停止したりすることなく、Linux カーネルの脆弱性を排除します。以前は、kpatch は実験的な機能として分類されていました。
• 枠組みに基づいて fapolicyed アプリケーションのホワイト リストとブラック リストを作成する機能が実装されており、ユーザーがどのプログラムを起動できるか、どのプログラムを起動できないかを区別できるようになりました (たとえば、未検証の外部実行可能ファイルの起動をブロックするため)。起動をブロックするか許可するかは、アプリケーション名、パス、コンテンツ ハッシュ、および MIME タイプに基づいて決定できます。ルールチェックは open() および exec() システムコール中に行われるため、パフォーマンスに悪影響を与える可能性があります。
• この構成には、分離されたコンテナーでの使用に重点を置き、コンテナー内で実行されているサービスからホスト システム リソースへのアクセスをより詳細に制御できるようにする SELinux プロファイルが含まれています。コンテナーの SELinux ルールを生成するために、新しい udica ユーティリティが提案されました。これにより、特定のコンテナーの詳細を考慮して、ストレージ、デバイス、ネットワークなど、必要な外部リソースへのアクセスのみを提供できるようになります。 SELinux ユーティリティ (libsepol、libselinux、libsemanage、policycoreutils、checkpolicy、mcstrans) はリリース 2.9 に更新され、SETools パッケージはバージョン 4.2.2 に更新されました。

  新しい SELinux タイプ、boltd_t が追加されました。これは、Thunderbolt 3 デバイスを管理するプロセスであるboltd を制限します (boltd は、SELinux によって制限されたコンテナ内で実行されるようになりました)。新しいクラスの SELinux ルール - bpf を追加しました。これは、Berkeley Packet Filter (BPF) へのアクセスを制御し、eBPF のアプリケーションを検査します。

• ルーティングプロトコルのスタックが含まれています FRルーティング (BGP4、MP-BGP、OSPFv2、OSPFv3、RIPv1、RIPv2、RIPng、PIM-SM/MSDP、LDP、IS-IS)。これは、以前に使用されていた Quagga パッケージを置き換えました (FRRouting は Quagga のフォークであるため、互換性は影響を受けませんでした) );
• LUKS2 形式の暗号化パーティションの場合、システムでの使用を停止することなく、オンザフライでブロック デバイスを再暗号化するためのサポートが追加されました (たとえば、パーティションをアンマウントせずにキーや暗号化アルゴリズムを変更できるようになりました)。
• 新しいエディションの SCAP 1.3 プロトコル (セキュリティ コンテンツ オートメーション プロトコル) のサポートが OpenSCAP フレームワークに追加されました。
• OpenSSH 8.0p1、Tuned 2.12、chrony 3.5、samba 4.10.4 の更新バージョン。 PHP 7.3、Ruby 2.6、Node.js 12、nginx 1.16 の新しいブランチを含むモジュールが AppStream リポジトリに追加されました (以前のブランチを含むモジュールの更新は継続されています)。 GCC 9、LLVM 8.0.1、Rust 1.37、および Go 1.12.8 を含むパッケージがソフトウェア コレクションに追加されました。
• SystemTap トレース ツールキットはブランチ 4.1 に更新され、Valgrind メモリ デバッグ ツールキットはバージョン 3.15 に更新されました。
• 新しいヘルスチェック ユーティリティが識別サーバー デプロイメント ツール (IdM、アイデンティティ管理) に追加されました。これにより、識別サーバーを使用した環境の運用に関する問題の特定が簡素化されます。 Ansible ロールのサポートとモジュールをインストールする機能のおかげで、IdM 環境のインストールと構成が簡素化されています。 Windows Server 2019 に基づく Active Directory 信頼されたフォレストのサポートが追加されました。
• 仮想デスクトップ スイッチャーは GNOME クラシック セッションで変更されました。デスクトップ間を切り替えるためのウィジェットは、下部パネルの右側に配置され、デスクトップのサムネイルを含むストリップとして設計されています (別のデスクトップに切り替えるには、その内容を反映するサムネイルをクリックするだけです)。
• DRM (ダイレクト レンダリング マネージャー) サブシステムと低レベルのグラフィック ドライバー (amdgpu、nouveau、i915、mgag200) が、Linux 5.1 カーネルに一致するように更新されました。 AMD Raven 2、AMD Picasso、AMD Vega、Intel Amber Lake-Y、Intel Comet Lake-U ビデオ サブシステムのサポートを追加しました。
• RHEL 7.6 から RHEL 8.1 にアップグレードするためのツールキットに、ARM64、IBM POWER (リトル エンディアン)、および IBM Z アーキテクチャーの再インストールを行わないアップグレードのサポートが追加されました。システムの事前アップグレード モードが Web コンソールに追加されました。アップデート中に問題が発生した場合に状態を復元するための Cockpit-leapp プラグインを追加しました。 /var ディレクトリと /usr ディレクトリは別個のセクションに分かれています。 UEFIのサポートが追加されました。で リープ パッケージは補足リポジトリから更新されます (独自のパッケージを含む)。
• Image Builder に、Google Cloud および Alibaba Cloud クラウド環境用のイメージを構築するためのサポートが追加されました。画像の塗りつぶしを作成するときに、任意の Git リポジトリからの追加ファイルを含めるために repo.git を使用する機能が追加されました。
• 割り当てられたメモリ ブロックの破損を検出するために、malloc の追加チェックが Glibc に追加されました。
• dnf-utils パッケージは、互換性を確保するために yum-utils に名前変更されました (dnf-utils をインストールする機能は保持されますが、このパッケージは自動的に yum-utils に置き換えられます)。
• Red Hat Enterprise Linux システム ロールの新しいエディションを追加しました。 提供する Ansible に基づく集中構成管理システムをデプロイし、ストレージ、ネットワーキング、時刻同期、SElinux ルール、および kdump メカニズムの使用に関連する特定の機能を有効にするサブシステムを構成するためのモジュールとロールのセット。たとえば、新しい役割
  ストレージを使用すると、ディスク上のファイル システムの管理、LVM グループや論理パーティションの操作などのタスクを実行できます。

• VXLAN および GENEVE トンネルのネットワーク スタックには、ICMP パケット「宛先に到達不能」、「パケットが大きすぎる」、および「リダイレクト メッセージ」を処理する機能が実装され、VXLAN および GENEVE でルート リダイレクトとパス MTU 検出を使用できない問題が解決されました。 。
• XDP (eXpress Data Path) サブシステムの実験的実装。これにより、Linux は、DMA パケット バッファに直接アクセスする機能を備えたネットワーク ドライバー レベルで、またネットワーク スタックによって skbuff バッファが割り当てられる前の段階で BPF プログラムを実行できます。 eBPF コンポーネントと同様に、Linux 5.0 カーネルと同期されます。 AF_XDP カーネル サブシステムの実験的サポートを追加しました (eXpressのデータパス);
• 完全なネットワーク プロトコルのサポートが提供される TIPC (透過的なプロセス間通信)、クラスター内のプロセス間通信を組織するように設計されています。このプロトコルは、アプリケーションがクラスタ内のどのノードで実行されているかに関係なく、アプリケーションが迅速かつ確実に通信するための手段を提供します。
• 障害発生時にコアダンプを保存するための新しいモードが initramfs に追加されました。早期ダンプ"、読み込みの初期段階で動作します。
• 新しいカーネル パラメータ ipcmni_extend が追加されました。これにより、IPC ID 制限が 32 KB (15 ビット) から 16 MB (24 ビット) に拡張され、アプリケーションがより多くの共有メモリ セグメントを使用できるようになります。
• Ipset はリリース 7.1 に更新され、IPSET_CMD_GET_BYNAME および IPSET_CMD_GET_BYINDEX オペレーションがサポートされました。
• 擬似乱数ジェネレータのエントロピー プールを埋める rngd デーモンは、root として実行する必要がなくなります。
• 充実したサポートを提供 インテル OPA (オムニパス アーキテクチャ) ホスト ファブリック インターフェイス (HFI) を備えた機器向けであり、Intel Optane DC 永続メモリ デバイスを完全にサポートしています。
• デバッグ カーネルには、デフォルトで UBSAN (未定義動作サニタイザー) 検出器を備えたビルドが含まれており、コンパイルされたコードに追加のチェックを追加して、プログラムの動作が未定義になった状況 (たとえば、初期化前の非静的変数の使用、分割など) を検出します。ゼロによる整数、符号付き整数型のオーバーフロー、NULL ポインターの逆参照、ポインターの位置合わせの問題など)。
• リアルタイム拡張機能を備えたカーネル ソース ツリー (kernel-rt) は、メインの RHEL 8 カーネル コードと同期されます。
• PowerVM 仮想ネットワーク・テクノロジーを実装した vNIC (仮想ネットワーク・インターフェース・コントローラー) ネットワーク・コントローラー用の ibmvnic ドライバーを追加しました。新しいドライバーを SR-IOV NIC と組み合わせて使用​​すると、仮想ネットワーク アダプター レベルでの帯域幅とサービス品質の制御が可能になり、仮想化オーバーヘッドと CPU 負荷が大幅に削減されます。
• データ整合性拡張機能のサポートが追加されました。これにより、追加の修正ブロックを保存することで、ストレージへの書き込み時にデータを損傷から保護できます。
• パッケージの実験的サポート (テクノロジー プレビュー) を追加しました nmstate宣言型 API を通じてネットワーク設定を管理するための nmstatectl ライブラリとユーティリティを提供します (ネットワーク状態は事前定義された図の形式で記述されます)。
• AES-GCM ベースの暗号化を使用したカーネル レベル TLS (KTLS) 実装の実験的サポートと、OverlayFS、cgroup v2、 Stratis、mdev (インテルvGPU) および ext4 および XFS の DAX (ブロック デバイス レベルを使用せずにページ キャッシュをバイパスするファイル システムへの直接アクセス)。
• DSA、TLS 1.0、および TLS 1.1 のサポートは廃止され、DEFAULT セットから削除され、LEGACY に移動されました (「update-crypto-policies —set LEGACY」)。
• 389-ds-base-legacy-tools パッケージは非推奨になりました。
  認証済み
  親権、
  ホスト名、
  性欲が強い、
  ネットツール、
  ネットワークスクリプト、
  NSS-pam-ldapd、
  センドメール、
  ypツール
  ypbind と ypserv。これらは将来の重要なリリースで廃止される可能性があります。

• ifup および ifdown スクリプトは、nmcli 経由で NetworkManager を呼び出すラッパーに置き換えられました (古いスクリプトに戻すには、「yum install network-scripts」を実行する必要があります)。

出所： オープンネット.ru